详解KYC:Web3领域中的隐私和合规

1. KYC的定义

KYC是“Know Your Customer”的首字母缩写,生硬的中文翻译为“了解您的客户”,是金融机构用来收集和验证其平台用户身份的必要程序。像我们平时去银行开户,需要填写一大堆详尽的个人信息;再或者注册支付宝、微信支付,也需要实名认证(填写真实姓名、手机号和身份证号),这些都是KYC。KYC对于企业管理,保护自身和用户的财产安全,以及满足政府部门的监管要求,都十分必要。常见需要遵守KYC的传统行业包括但不限于:

  • 商业银行
  • 当地信用合作社
  • 财富管理基金、公司和券商
  • 数字支付应用
  • 数字市场
  • 借贷平台
  • 股票交易应用
  • 具有法定入口的加密应用程序

详解KYC:Web3领域中的隐私和合规

【如图】KYC其实只是宏大的反洗钱和各种欺诈预防计划中的一个方面

KYC向地方当局提供保证,并保护平台用户远离参非法活动的实体。定期KYC检查还可以提供有用信息、让机构更了解客户,比如他们是否已搬到其他管辖区、是否有参与非常规可疑活动等等。

同时,KYC在Web3领域也被广泛应用,然而由于大量早期用户是被区块链技术的隐私性和去中心化吸引而来的,导致了KYC应用在加密社区引起了争议,但如果不遵守KYC规定,区块链技术就无法进一步被大规模采用。

2. 传统KYC程序及其集中化风险

传统金融机构的KYC一般会要求客户提供年龄、国籍、资金来源和身份证明等基本信息。审查机构将与相关监管或执法机构审查上述文件,决定是否批准申请人开展业务。初步的KYC检查会对申请人进行风险评级,如果实体的风险评级超过机构设定的特定阈值,其来源将受到后续流程中更严格的尽职调查。可能会影响客户评分的因素包括:在受制裁的地区开展业务、公司领导人员是政治敏感人物、大多数客户不住在公司运营地以及大量现金交易等。

KYC是一项具有持续性的基础事项,传统金融机构可能会在每次交互时进行标准的身份检查程序,还有机构用渐进式风险分析来评估给定交易的风险级别,根据算法阈值级别做出验证决策。例如,打开一个未使用的账户并突然快速存取款可能不会触发验证检查,而多次取款才会触发阈值事件。

触发事件还可以通知机构其客户账户中的特殊变化。例如,某账户身份盗窃率高,或其居住国以外的地点交易,将被标记为可疑账户。公司能够通过积极主动的手段快速响应可疑行为、与执法部门合作,扼杀犯罪行为于摇篮之中。

事实上,涉及多个利益相关者的KYC法规的合规工作量巨大,给金融机构带来了沉重的成本负担,特别是区块链领域的初创公司。此外,随着监管变化、各种事件发生或需要合规文档的新产品出现,KYC检查也需要持续维护和更新,无形中增加了运营成本。当然,用户也会分担成本的风险,因为他们需要及时更新其KYC信息,若不及时更新,在某些加密协议中有资金冻结或丢失的风险。

人员在不断流动、地缘政治力量一直在演变、以及KYC的审查类型也在不断变化,因此机构需要安排特定的人力资源定期联系客户以获取KYC信息。对于大多数银行公司和加密货币公司来说尤其如此,他们经常收到来自与他们有业务往来的不同银行和个人的大量KYC请求。

SWIFT的KYC注册中心为金融机构及其客户处理KYC合规维护提供了一个集中解决方案,他们采用中央存储库来实体存储最新KYC数据,并向需要它的人提供访问权限,同时对中央数据库进行索引和保护。其优势在于,它通过KYC信息的标准化和集中化以及利益相关者之间的交流来促进监管合规的效率;其劣势也很明显,过渡集中化带来的数据泄漏风险也是巨大的。

3. DeFi与KYC之间的抗衡

Web3中DeFi的主要特点是匿名性,从一开始就没有设置KYC流程,一些加密服务商也不愿接受KYC,直到受到监管机构的督促。

Binance和BitMEX是其中最不愿接受KYC的公司,但他们也被迫在美国、英国和日本监管机构的要求下引入更严格的KYC程序。各个中心化交易所被迫要么采用和执行由各种监管机构规定的严格的KYC程序,要么正色直言他们不再为某些国家的用户提供服务。

尽管BitMEX采用了KYC程序,但美国检察官仍然指控其CEO亚瑟·海耶斯(Arthur Hayes)存在KYC标准不足等违规行为。之后,BitMEX宣布在与美国监管机构达成1亿美元和解之前,称其所有用户都已通过KYC。

4. Web3: 需要更周全的身份验证

想鱼和熊掌兼得,Web3需要更加周全的方法。想象一下,如果我们能够采取一种兼容不同协议的方式将一个身份申明上链,同时保证底层参与方的完全隐私,这将使得验证过程充分利用区块链共识机制,并将其与其他加密协议自然而然的结合起来。同时再利用去中心化的预言机自动执行持续性的KYC,将在合规以及保护隐私的前提下大大提高执行效率。

对于如何实现这一设想,目前最有趣的想法之一是利用零知识证明等技术,在不披露潜在身份以及保护数据隐私的情况下,对链上的用户进行身份验证,这种方式能够保证用户符合监管机构要求,让Web3能够遵循各项法规,并回避针对其窝藏洗钱者的攻击。(之前也详细介绍过零知识证明,还没阅读的欢迎前往了解)

总而言之,在Web3不断发展并走向合规的路上,隐私一直是当前区块链解决方案中缺失的元素之一,DeFi中引入的身份层也曾向匿名性发起了挑战,同时圈中大多数人也认为加密金融交易信息都披露在公共分类账上非常幼稚,且没有给那些不想公开披露个人交易信息的人合理的隐私选择。虽然身份创建步骤需要一个可信方来维护身份声明,但在身份证明阶段可以采用去中心化,因此,Web3的合规化开启了一层强大的身份隐私层,为各种有趣的身份验证场景打开了大门。

(本文以及图片为【SupraOracles】原创内容,未经账号授权,禁止随意转载)